こんにちは。スプラッシュトップ編集部です。
不正アクセスは誰の身にも起こりえるサイバー攻撃の一種で、個人・企業を問わずに多大な被害が発生する可能性がある脅威です。
警察庁、総務省及び経済産業省が2023年3月に3省庁で報道発表した内容によれば、不正アクセス行為の認知状況は2021年の1,516件から2022年にかけて約1.5倍の2,200件に増加しています。不正アクセス行為の手口では「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が最も多く、その次に「識別符号を知り得る立場にあった元従業員や知人等による犯行」が挙げられています。
この記事では、不正アクセスの具体的なリスクや発生の原因、実際に起きた事例の紹介、不正アクセスを防ぐために有効な対策や被害に遭った際に取るべき対応について解説します。
不正アクセス対策をする前に知っておきたいこと
不正アクセス対策に関して解説する前に、不正アクセスの概要やリスク、発生の原因について見ていきましょう。
そもそも不正アクセスとは?
不正アクセスとはアクセス権限を持たない何者かが不正にアクセスする行為です。
おもに侵入行為・なりすまし行為・持ち主の許可を得ずにID及びパスワードを第三者に提供する行為が不正アクセスとして定義されています。
不正アクセスは法律で禁止されている行為です。“不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)”で定められており、違反すると3年以下の懲役または100万円以下の罰金に処されます。
不正アクセスのリスク
不正アクセスを受けた際、おもに次のリスクが考えられます。
- 情報漏えい(企業機密情報、個人情報など)
- なりすまし
- システムの不正利用
- 攻撃の踏み台にされる
例えば、社内システムに不正アクセスされると企業の機密情報や、管理している個人情報が盗み出される可能性が考えられます。
また、自社へのリスクだけでなく攻撃の踏み台として利用された場合、あたかも自社や自社の社員が他のシステムやサービスに攻撃を行なっているかのように、PCやシステムを不正に利用されるリスクもあります。
不正アクセスの原因
このような不正アクセスの被害に遭う原因としては、おもに“脆弱なパスワード管理”と“OS/アプリなどの脆弱性の悪用”が考えられます。
近年では、業務に利用するシステムやサービスが非常に増えています。利用するシステムやサービスごとにID管理を行なっている場合、ID管理が煩雑になりパスワードの使いまわしや、予測しやすいパスワードを設定してしまう社員も多くなるでしょう。このような脆弱なパスワード管理は、不正アクセスを許す原因の一つとなります。
また、OS/アプリなどの脆弱性をついた不正アクセスの種類は年々増加し、絶えず巧妙化しています。さらに、脆弱性が発見されてからユーザーがアップデートする前までの間を狙い、修正前の脆弱性をターゲットとする「ゼロデイ攻撃」も増えています。こうして、不正アクセスを許してしまうケースも多く報告されています。
不正アクセスによる被害事例
ここでは、実際に起こった不正アクセス被害の事例として、「個人情報の流出」「ホームページの改ざん」「攻撃の踏み台にされる」について紹介します。
事例1. 個人情報の流出
ある大手食品メーカーでは、社内のサーバーに不正アクセスされ、サーバーに障害が発生しました。製造に関するシステムが一時停止し、商品の提供に対する影響が出たほか、160万人を超える顧客の個人情報が流出した可能性もあります。この不正アクセスは、ネットワーク機器の脆弱性が悪用されたことが原因とされています。
事例2. ホームページの改ざん
あるアミューズメント施設を運営している会社では、第三者による不正アクセスにより、料金案内ページが改ざんされ、不適切なページへ誘導される事象が起きました。改ざんされたページを含むホームページからの個人情報等の流出はないとされていますが、誘導された不適切なページによる被害の可能性は否定できません。
事例3. 攻撃の踏み台にされる
あるIT企業が提供するメール中継システムにおいて、設定変更不備により悪意のある第三者にメール送信する踏み台として悪用され、不正に送信されたメール総数は90万件を超えました。設定変更の際に二重チェックを行う手順が不十分だったことが原因とされています。
不正アクセスを防ぐ5つの対策
不正アクセスを防ぐためには、次に挙げる5つの対策が有効です。すべての対策を並行して実施することが望ましく、いずれか一つでも欠けると対策は万全とはなりませんので注意しましょう。
1. OSやアプリを最新の状態に保つ
前でも述べたように不正アクセスの代表的な原因の一つはOSやアプリなどの脆弱性です。そのため、OSやアプリを常に最新の状態に保つことが必須の対策となります。
OSやアプリには必ず脆弱性が存在するものと考えましょう。実際にお使いのOSやアプリでも、新たに見つかった脆弱性の改善のために定期的なセキュリティアップデートが行なわれていると思います。
不正アクセスの対策として最も簡単かつ有効な手段といえる、OSやアプリの定期アップデートをしっかりと適用しましょう。
2. 多要素認証を導入する
多要素認証とは、複数の異なる要素の認証を組み合わせた方式です。
認証のための要素には、知識要素(ユーザーの頭にしかない情報)、所有要素(ユーザーのみが所有するモノ)、生体要素(ユーザー固有の身体的な特徴)の3つがあり、これらを2つ以上組み合わせてより強固な本人確認を可能にします。
例としては、知識要素であるIDとパスワードによる認証を行った後に、自分のスマートフォンに送信されるパスコードで認証を行う(デバイス認証)といった方式があります。
仮にID/パスワードが漏れたとしても、これらの複数の要素を必要とする認証を組み合わせることで、不正アクセスを防げます。
3. 強固なパスワード管理
パスワード自体のセキュリティ強度を上げることも有効な対策です。強固なパスワードの基準として、8文字以上で英字(大文字、小文字)や数字・記号を組み合わせて、意味のない文字列にすることなどが推奨されています。
また、組織的なパスワード管理方法として、IDaaSによる一元的なID管理も有効です。IDaaSでシングルサインオン(SSO)を実現すれば、社員個々人が設定するパスワード強度に左右されることなく、強固なパスワード管理が実現できます。
4. セキュリティシステムの導入
不正アクセスの手法は多種多様です。システムの対策は必要不可欠であり、ファイアウォールやIDS/IPS、WAFなどのセキュリティシステムの導入が有効となります。
ファイアウォールは不要な通信の遮断を実現し、IDS/IPSは不正な通信を検知・遮断するシステムです。WAFは“Web Application Firewall”の略称で、Webシステムに対する攻撃の検知と遮断が行なえます。
これらのセキュリティシステムの導入による対策は、以前から有効とされる不正アクセスの防止策です。昨今では企業でクラウドサービスを利用する機会が増えているため、IDaaSを用いたゼロトラストネットワークの構築も有効となっています。
5. アカウント共有の廃止
クラウドサービスなどで一つのアカウントを複数人で利用する“アカウント共有”を廃止することも不正アクセスを防ぐために有効です。
そもそもアカウント共有は、コンプライアンスや利用規約の違反になるという問題がありますが、セキュリティ面で考えても大きなリスクをはらみます。
アカウント共有を行なっている場合、パスワードの管理が難しくなりSSOにも対応しづらくなります。加えて、監査ログも意味をなさなくなるため不正アクセスを受けた際、発見が遅れるというデメリットもあります。
アカウント共有を廃止することでこれらのリスクは解消され、適切な不正アクセス対策をとることが可能になります。
なお、IDaaSやゼロトラストネットワークに関しては下記の記事にて詳しく解説していますので、こちらもぜひご覧ください。
不正アクセスを受けた場合の対策手順
仮に不正アクセスを受けた場合、どのような対策を講じればよいのでしょうか。ここでは、不正アクセスを受けた場合の対策を取るべき手順に沿って解説します。
社内の対策部門に連絡する
不正アクセスの疑いがある場合には、即座に社内の対策部門に連絡しましょう。社内の情報システム部門に連絡、または情報セキュリティ組織が別途設けられているのであればそちらへ連絡・相談します。
不正アクセスを含めたサイバー攻撃は企業経営に多大な損傷を与えることが考えられます。初動が遅れると対応が遅くなり、被害が甚大化してしまう可能性があるため、疑いがある時点で即座に連絡・相談をすることが重要です。
被害状況の確認・復旧対応
ここからは、情報システム部門や情報セキュリティ組織が主導で実施します。まずは具体的な対策を講じるためにも現状の被害状況を確認しましょう。
不正アクセスのもととなったアカウントの把握や、被害範囲の確認、現時点での具体的な被害内容などを確認します。状況を正確に把握することは以後の対応のためにも非常に重要です。
全体的な状況をしっかりと確認したあとで、適切な対応と復旧を行ないます。原因となったアカウントやパソコンなどが特定できた場合は、パスワードを変更したりネットワークから切り離したりする対応を復旧対応の第一歩としましょう。
社外の相談窓口などへの相談・報告
被害の規模が大きい場合や、調査が難航する場合には社外の専門家に頼ることも一つの手段です。具体的な対策方法などが不明な場合には、情報処理推進機構(IPA)の情報セキュリティ安心相談窓口などを利用するとよいでしょう。
IPAでは相談と併せて被害の届け出も受け付けているため、事後の対応としても利用することをおすすめします。また、金銭的に多大な被害を受けたなどの場合には、警察への相談・届け出も行ないましょう。
詳細に関しては、各都道府県警察のサイバー犯罪相談窓口に問い合わせることをおすすめします。
テレワークの不正アクセス対策にはSplashtopがおすすめ
不正アクセスの被害は誰の身にも起こり得るものです。テレワークの増加にともない不正アクセスのリスクも高まっています。
テレワークでは安全な通信のためにVPNを利用することがありますが、VPNを利用していても不正アクセスを含むセキュリティ事故は発生しています。
そのため、より安全なリモートアクセス環境の構築は企業の必須課題といえるでしょう。
安全なリモートアクセス環境の構築手段として、リモートデスクトップソリューションのSplashtopがおすすめです。
SplashtopはVPNを利用せず、すべての通信にSSL/AES256ビット暗号化通信を用いて安全な通信を実現します。通信傍受や盗聴を防ぐだけでなく、二段階認証やデバイス認証などによる不正アクセスの対策も可能です。
Splashtopはゼロトラストを念頭に置いて設計されているためセキュリティ性が高く、安全なリモートアクセス環境の構築に最適なソリューションです。高いセキュリティ環境でリモートアクセスを実現したい場合は、Splashtopの導入を考えてみてはいかがでしょうか。
>【無料トライアル実施中】Splashtopの機能やセキュリティについて詳しくはこちら
